A empresa de cibersegurança Arctic Wolf alertou para um novo cluster de atividade maliciosa automatizada envolvendo alterações não autorizadas nas configurações de firewall em dispositivos Fortinet FortiGate.
Segundo a companhia, a campanha teve início em 15 de janeiro de 2026 e apresenta semelhanças com um ataque registrado em dezembro de 2025, quando logins maliciosos via SSO (Single Sign-On) em dispositivos FortiGate foram realizados na conta de administrador a partir de diversos provedores de hospedagem.
Para isso, os invasores exploraram as vulnerabilidades
CVE-2025-59718
e
CVE-2025-59719
.
Essas falhas permitem o bypass não autenticado do processo de login SSO por meio de mensagens SAML manipuladas, desde que o recurso FortiCloud SSO esteja ativado nos dispositivos afetados.
As vulnerabilidades atingem os produtos FortiOS, FortiWeb, FortiProxy e FortiSwitchManager.
De acordo com a Arctic Wolf, a atividade envolve criação de contas genéricas para garantir persistência, alterações nas configurações que concedem acesso VPN a essas contas e extração das configurações do firewall.
Especificamente, foram detectados logins maliciosos via SSO na conta "[email protected]" a partir de quatro endereços IP distintos, seguidos da exportação dos arquivos de configuração do firewall para esses mesmos IPs pela interface gráfica.
Os IPs envolvidos são:
- 104.28.244.115
- 104.28.212.114
- 217.119.139.50
- 37.1.209.19
Além disso, os agentes de ameaça criaram contas secundárias com nomes como "secadmin", "itadmin", "support", "backup", "remoteadmin" e "audit" para aumentar a persistência no ambiente.
Todos esses eventos ocorrem em segundos, o que indica que a operação é automatizada.
A divulgação desse novo ataque coincide com relatos no Reddit em que usuários informam logins maliciosos via SSO em dispositivos FortiOS totalmente atualizados.
Um dos usuários afirmou que a equipe de desenvolvimento da Fortinet confirmou que a vulnerabilidade ainda persiste ou não foi corrigida na versão 7.4.10.
Até o momento, a Fortinet não se pronunciou sobre o caso, mas recomenda desabilitar a configuração "admin-forticloud-sso-login" como medida temporária para reduzir riscos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...